Upload
buituong
View
213
Download
0
Embed Size (px)
Citation preview
RISK MANAGEMENTET
STRATÉGIE
Du risk management de la gouvernance
aurisk management
de la performance
Liv
re B
lan
c 2
01
6
A propos de l’AMRAE
L’Association pour le Management des Risques et des Assurances de l’Entreprise rassemble plus de 1000 membres appartenant à 950 entreprises françaises publiques et privées.
L’association a notamment pour objectifs de développer la « culture » du Management des Risques dans les organisations et d’aider ses membres dans leurs relations avec les acteurs du monde de l’assurance et les pouvoirs publics. Elle les conseille dans l’appréciation des risques, dans la maîtrise de leurs financements et leurs dépenses d’assurance.
Sa filiale AMRAE Formation, pour répondre aux besoins de formation professionnelle de ses adhérents ou de ceux qui légitimement s’adressent à elle, dispense des formations diplômantes, certifiantes et qualifiantes de haut niveau.
3
L’AMRAE adresse ses remerciements à ceux qui ont contribué à la réalisation de cette publication
• Bruno Dunoyer de Segonzac, Coaching et Formation en risk management• Olivia Zitouni, Risk Officer Apprentie, ESCP Europe
Merci à Bruno Dunoyer de Segonzac et Olivia Zitouni qui ont conduit cette étude et les entretiens, et qui en ont tiré de nombreux enseignements utiles aux professionnels du risk management.
Nous remercions tous les répondants au questionnaire et les personnes interviewées qui se reconnaîtront pour le temps et l’intérêt qu’ils ont consacré à cette étude.
4
Table des matières
Table des matières .............................................................................................. 4
Table des illustrations .......................................................................................... 5
Editorial ............................................................................................................ 6
Objectifs ........................................................................................................... 7
Méthodologie ..................................................................................................... 8
Introduction ....................................................................................................... 9
1. Echelle de maturité du risk management ........................................................... 9
1.1. Trois grands niveaux de territoire d’intervention ............................................ 9
1.2. Quatre degrés de positionnement ............................................................. 10
2. Les attributions du risk management dans le processus décisionnel ..................... 11
2.1. Trois postures d’orientation du risk management ........................................ 11
2.1.1. Posture « Compliance » ........................................................................ 11
2.1.2. La posture « Stratégie et projets » ......................................................... 14
2.1.3. La posture « Business partner » ............................................................. 15
2.2. Ces trois postures répondent à des besoins qui s’expriment différemment selon la culture des entreprises et le marché sur lequel elles opèrent. ............... 18
2.2.1. Un outil de gouvernance ....................................................................... 18
2.2.2. Un outil de gestion ............................................................................... 19
2.2.3. Un outil de performance ....................................................................... 19
3. En matière de projets, de risques pays définition de limites de risques ................. 21
3.1. Définition des limites de risques ............................................................... 21
3.2. Le risk management et les grands projets .................................................. 22
4. Apprécier les modalités de participation du risk management à la définition et à l’analyse de scenarios extrêmes ............................................................... 23
5. Identifier les meilleures pratiques en matière de gouvernance et leadership de la filière risk management ......................................................................... 25
6. Faire évoluer la fonction risk management ....................................................... 28
6.1. De quoi le risk management dans une entreprise donnée a-t-il besoin pour gagner davantage d’une autre posture ? ............................................. 28
Conclusion ....................................................................................................... 29
Annexe 1 : Analyse sémantique des interviews ..................................................... 30
Annexe 2 : Introduction aux résultats du questionnaire ......................................... 30
Annexe 3 : Résultats du questionnaire et commentaires par item ............................ 31
5
Table des illustrations
Figure 1. Trois territoires de positionnement du risk management ............................. 9
Figure 2. Quatre degrés de positionnement du risk management ............................ 10
Figure 3. Echelle de maturité du risk management ................................................ 11
Figure 4. Portrait-robot du risk manager « Compliance » ........................................ 12
Figure 5. Interactions du risk manager « Compliance » .......................................... 13
Figure 6. Portrait-robot du risk manager « Stratégie et projets » ............................. 14
Figure 7. Interactions du risk manager « Stratégie et projets » ............................... 15
Figure 8. Portrait-robot du « Business partner » .................................................... 16
Figure 9. Interactions du risk manager « Business partner » ................................... 17
Figure 10. Trois postures du risk management ...................................................... 18
Figure 11. Risk management outil de gouvernance ................................................ 19
Figure 12. Risk management outil de gestion ....................................................... 19
Figure 13. Risk management outil de performance ................................................ 19
Figure 14. Différentes postures répondant à des besoins différents selon les entreprises .......................................................................... 20
Figure 15. L’approche du budget selon les trois postures de risk management .......... 21
Figure 16. Equilibre complet du risk management ................................................. 25
Figure 17. Structure de risk management majoritaire ............................................ 26
Figure 18. Tendance à l’orientation vers le « Business partner » .............................. 26
Figure 19. Forme actuelle la plus aboutie de risk management ................................ 27
Figure 20. Matrice des besoins pour faire évoluer une posture de RM ....................... 28
Figure 21. Matrice changement organisationnel .................................................... 29
6
Editorial
« La cartographie des risques est la photo dans laquelle se cachent de nouvelles opportunités ».
La définition de l’appétit aux risques et le pilotage de l’exposition aux risques sont de plus en plus attendus par les Conseils d’administration et les Directions générales, pour mieux répondre à un environnement des affaires en pleine mutation et difficile à appréhender.
Cette étude conduite auprès de nombreux risk managers expérimentés, en France et en Europe, exerçant dans des entreprises variées, vise à nous donner un temps d’avance, en rassemblant les meilleures expériences des uns et les idées nouvelles des autres.
Pour réussir à transposer ces concepts dans son entreprise, le Directeur du management des risques devra faire évoluer le profil des risk managers, compléter leurs compétences, communiquer une nouvelle idée de la gestion des risques.
Ce Cahier Technique a vocation à aider chaque risk manager à faire évoluer sa fonction du « risk management de la gouvernance au risk management de la performance ». Un risque qui en vaut la peine.
Cette étude vient compléter utilement le baromètre du risk manager 2015 présenté par l’Amrae en septembre dernier, qui était axé sur la personne du risk manager.
Ce livre blanc auquel a participé activement l’Amrae aborde la place du risk management dans la stratégie de l’entreprise. Il se veut concret et pragmatique en s’appuyant sur le témoignage et l’expérience de risk managers engagés au quotidien dans cette démarche.
Il procure au risk manager des outils et des critères lui permettant de positionner la maturité de la gestion des risques de son entreprise sur une échelle objective. Il permet aussi au-delà du constat de se projeter dans l’avenir, en proposant une évolution de la posture, en passant d’un risk management de gouvernance à un risk management de performance.
Nous pensons également qu’au-delà de notre communauté, il aidera les dirigeants de nos entreprises à encore mieux comprendre l’intérêt de disposer d’une gestion des risques structurée, contributive à la création de valeur.
Nous espérons que ces analyses vous seront utiles et contribueront à renforcer la place et la reconnaissance de notre profession, ce qui est la vocation de notre association.
Michel DenneryPilote du groupe de travail AMRAEBoard Member of FERMA
François Malan Vice-Président de l’AMRAEen charge du métier RM
7
Objectifs
Les objectifs de l’étude sont les suivants :
1. Permettre à tout lecteur de se positionner sur une échelle de maturité du risk management, et identifier les zones de progrès.
2. Comparer, parmi les entreprises jugées les plus matures, les attributions du risk management dans le processus décisionnel, identifier les différents rôles et missions du risk management dans ce processus, et recenser les différentes pratiques positionnant le risk management comme élément de diagnostic, de conseil et/ou de leadership du processus de prise de décision, au-delà de l’outil d’aide à la décision.
3. En matière de projets, de risques pays et de définition de limites de risque, recenser les critères de risques mis en place par les entreprises et identifier les éventuelles corrélations entre ces critères et la définition de limites.
4. Apprécier les modalités de participation du risk management à la définition et à l’analyse de scenarios extrêmes, et des conclusions tirées par les entreprises en matière de limites, ou de renoncement à certains business.
5. Identifier les meilleures pratiques en matière de gouvernance et leadership de la filière risk management, mettre en évidence les éventuelles relations entre cette gouvernance et la participation au processus décisionnel.
8
Méthodologie
Il a été procédé à une sélection de risk managers à interviewer, complétée par un sondage qui a permis de faire émerger un certain nombre d’entreprises ayant des pratiques avancées en matière de risk management.
Un questionnaire en ligne (cf Annexe n°3 page 31) a été envoyé à près de 180 Directeurs du management des risques d’entreprises en majorité membres de l’AMRAE, d’autres faisant partie d’association de risk management en Europe. La période de collecte des réponses s’est échelonnée du 1er avril au 29 avril 2015.
Près de 40 risk managers ont répondu au questionnaire en ligne, soit une participation de 22%.
22 % est un taux de participation dans l’absolu relativement faible mais dans la moyenne des taux de réponses des questionnaires professionnels.
En parallèle du sondage, des entretiens individuels ont été réalisées afin de collecter des données riches et non statistiques en vue de procéder à une analyse qualitative des rôles et missions du risk management. Un panel de 12 personnes comprenant essentiellement des risk managers de grands groupes de secteurs divers dont les sièges sociaux sont situés en France, en Europe ou dans le monde. Parmi les personnes interviewées, ont également été interrogés un risk manager d’une collectivité territoriale, un directeur audit et risques, un administrateur, ainsi qu’un chercheur spécialisé dans les problématiques de gouvernance et risk management.
Les personnes interviewées ont été rencontrées suite à un processus de sélection d’entreprises et organisations avancées en risk management.
Les entretiens individuels ont été réalisés en face à face et par téléphone au cours des mois d’avril et mai 2015 auprès d’interviewés résidant en France, Europe et monde.
La présente étude est une synthèse de l’analyse des résultats des questionnaires, et des interviews.
9
Introduction
Dans le rapport qui suit, nous nous sommes efforcés de construire des outils de lecture afin de comprendre les meilleures pratiques du risk management d’aujourd’hui. Nous avons élaboré des outils de développement qui permettent premièrement, à tout risk manager, de comprendre comment le risk management se positionne dans les entreprises.
Dans un deuxième temps, le rapport permet au risk manager de trouver les moyens de son évolution selon les besoins de son entreprise. Nous espérons que ce rapport soit compris comme un apport qui ne se limite pas à la réflexion conceptuelle mais comme une approche de solutions simples et concrètes à mettre en œuvre, pour les risk managers qui souhaitent faire évoluer leur fonction.
1. Echelle de maturité du risk management
A la lecture du sondage, il est possible de dégager une vision de la maturité du risk management dans les entreprises en considérant trois grands niveaux de territoire d’intervention et 4 degrés de positionnement.
1.1. Trois grands niveaux de territoire d’intervention
Territoire 3• Risques éthiques• Risques stratégiques• Risques de gouvernance
Territoire 2
• Risques SI• Risques juridiques et réglementaires• Risques RH• Risques projets• Réputation et image
Territoire 1 • Risque industriel• Risque commercial et distribution
Figure 1. Trois territoires de positionnement du risk management
Le premier niveau de territoire implique l’identification et la valorisation des risques opérationnels ou industriels, dans un objectif de transfert du risque assurable.
Le deuxième niveau de territoire implique un risk management présent sur les risques du premier niveau, plus les risques SI, juridiques et réglementaires, RH, projets, réputation et image, commerce et distribution.
Le troisième niveau de territoire implique un risk management présent sur les risques des deux précédents territoires, étendus aux risques pays (politiques), éthiques, stratégiques et risques de gouvernance.
10
1.2. Quatre degrés de positionnement
Au degré de positionnement A, la mission du risk manager se limite à l’identification et la valorisation des risques, apporter l’assurance sur l’efficacité de la méthode de risk management et être le garant de cette méthode dans l’entreprise.
Au degré de positionnement B, la mission du risk manager comprend les éléments du degré A, plus les actions de transfert aux assurances, la mise en œuvre des plans d’actions. A ce stade, il n’intervient pas, son avis sur les risques n’est pas sollicité.
Au degré de positionnement C, la mission du risk manager comprend les éléments des 2 degrés précédents A et B plus le pilotage des plans d’actions, la communication aux marchés. A ce stade les analyses du risk manager ont la capacité d’influencer la stratégie de l’entreprise.
Au degré de positionnement D, la mission du risk manager comprend les éléments des 3 degrés précédents A, B, C, plus la participation à la prise de décision et à la définition du niveau d’appétence aux risques de l’entreprise.
A
identification, valorisation des risques, garant de l’efficacité de la méthode
B
A + transfert aux assurances, mises en œuvre des plans d’action
C
A+B+ pilotage des plans d’action, communication aux marchés,
capacité à influencer la stratégie d’entreprise
D
A+B+C+ participe à la prise
de décision et définition du niveau
d’appétence au risque
Figure 2. Quatre degrés de positionnement du risk management
11
L’échelle de maturité peut alors se lire grâce au tableau suivant, 1 étant la maturité la moins élevée et 5 la maturité la plus élevée :
Degrés de positionnement A B C DTe
rritoires
d’in
terv
ention T1
risques : industriel, commerce et distribution
1 1 2 3
T2 Territoire 1 + risques SI, juridiques et réglementaires, RH, projets, réputation et image
2 2 3 4
T3 Territoire 1 + 2 + risques : éthique, stratégiques et gouvernance
3 3 4 5
Figure 3. Echelle de maturité du risk management
2. Les attributions du risk management dans le processus décisionnel
L’accès du risk management aux instances décisionnelles est fort. Le sondage indique que 70% des répondants ont un accès immédiat et direct avec le management dirigeant. Les entretiens réalisés ont tous été dans ce sens. Précisons qu’il n’est pas rare de voir des organisations en double « reporting » avec une capacité du risk management à parler librement au Directeur Général ou au Comité de direction. 78% des répondants présentent les risques émergents identifiés directement au management décisionnel.
Issue du besoin de l’entreprise, la posture du risk management est différente selon les entreprises. Par conséquent, la relation avec la direction de la stratégie et les instances décisionnelles varie très largement d’une entreprise à une autre. Nous avons pu identifier trois postures d’orientation de risk management.
2.1. Trois postures d’orientation du risk management
2.1.1. Posture « Compliance »
Comme son nom l’indique, elle est poussée par le besoin de conformité imposée sur le mar-ché où agit l’entreprise. La posture de risk management orientée « Compliance » répond à une demande de conformité sur des marchés fortement réglementés comme par exemple les marchés bancaires et assurantiels (Solvency II, Bâle III). Le risk management est alors concentré sur un livrable normatif, qui a pour but de rassurer sur la capacité de la méthode à jouer son rôle de garde-fou et de détection de niveau des risques, dans un univers défini, souvent appelé référentiel de risques. La limite de la posture est relative à son éloignement de la réalité du business.
12
De ce fait, sur le terrain, le risk management est parfois perçu comme un « reporting » supplémentaire. L’étude révèle que les risques émergents sont plus difficilement détectables dans la posture « Compliance ».
Le risk management agit comme un gestionnaire, avec une logique comptable d’un référentiel de risques, qu’il fera évoluer au rythme des campagnes d’identification et de valorisation des impacts bruts et nets.
Les risk managers de cette catégorie que nous avons rencontrés, étaient conscients de la complexité, pour le management opérationnel, d’appliquer « à la lettre » une méthodologie lourde considérée comme une perte de temps puisqu’elle n’est pas destinée à servir directement le business mais les organes de gouvernance.
Dans cette catégorie, le risk management peut avoir accès aux organes de gouvernance comme par exemple le Comité d’Audit et des Comptes. La cartographie des risques est alors un livrable officiel, présenté au Conseil d’Administration, même si les administrateurs ont davantage intérêt à s’assurer de l’efficacité de la méthode, qu’au le contenu du livrable lui-même. La ligne hiérarchique du risk management est située dans l’environnement d’un Secrétariat Général ou d’une Direction Juridique.
Portrait-robot du risk manager « Compliance »
Missions
• Fournir de manière régulière l’assurance raisonnable sur l’efficacité de la méthode d’identification des risques principaux de l’entreprise
• Présenter annuellement une évaluation des risques principaux et de leur degré de maîtrise auprès des instances de gouvernance
Savoir-être
• Rigoureux, méthodique• Respectueux des procédures• Neutre• Intègre• Indépendant• Autonome
Savoir-faire
• Livrable adapté aux besoins de la gouvernance• Travail sur des référentiels de risques catégorisant l’univers
de risques• Quantification, agrégation des risques au niveau macro• Création d’un réseau de correspondants capables de
remonter les informations• Approche juridique et sociale du risque permettant l’analyse
des risques éthiques et de réputation
Outil• Outil structurant permettant la revue annuelle des risques
et de leur quantification de manière homogène pour toute l’entreprise
Figure 4. Portrait-robot du risk manager « Compliance »
1313
Instances décisionnelles
Comité de direction, Direction générale,
Comité d’engagement, Comité stratégique…
Management de proximitéPropriétaires de risques
Instances de gouvernance
Conseil d’administration, Conseil de surveillance, Comité
d’audit et des comptes, Comité d’éthique
Fonctions de contrôleComité interne, audit,
santé-sécurité
Fonctions supportsFinance, Achats, RH, SI, Communication, RSE…
Assurances
Compliance
Légende :
Principal client interne des travaux du risk management
Travaux réguliers en collaboration
sens de la flèche = sens de la communication
Figure 5. Interactions du risk manager « Compliance »
1414
2.1.2. La posture « Stratégie et projets »
La posture que nous appelons « Stratégie et projets », est celle qui est demandée par les entreprises dont le besoin de vision stratégique est situé à long terme. Dans ce type d’entreprises, les décisions sont structurelles et vont l’engager sur un espace-temps qui rend la correction compliquée voire impossible. Les risques du quotidien de type sécurité, santé, environnement, sont traités dans l’organisation, et souvent regroupés dans un département « Qualité ». Dans cette posture, le risk management est impliqué dans les grands projets. Il participe à la vision stratégique de l’entreprise et poursuit l’analyse jusqu’à identifier les opportunités de développement et de ce fait provoque les réflexions sur l’appétence aux risques en fonction de la rentabilité recherchée. Il gère un portefeuille de risques dont il assure l’équilibre en fonction de l’appétit au risque de l’entreprise. La ligne hiérarchique du risk management est dans l’environnement d’une Direction Générale Déléguée Stratégie / Finance.
Portrait-robot du risk manager « Stratégie et projets »
Missions
• Apporter régulièrement une vision des risques et opportunités sur le long terme et sur les projets d’envergure
• Donner son avis sur la prise en compte des risques dans les projets, y compris donner l’alerte pouvant conduire à l’abandon du projet
• Proposer d’augmenter la prise de risque pour en augmenter la rémunération au regard de l’appétit au risque et résilience au risque de l’entreprise
Savoir-être
• Forte ouverture sur le monde externe• Capacité de prise de recul par rapport au business et de
structurer une vision stratégique• Recherche de la performance• Capacité à gérer le relationnel de haut niveau• Créativité
Savoir-faire
• Connaissance très pointue du marché de l’entreprise• Analyse de l’appétence au risque et de la rémunération
associée• Création et gestion d’un portefeuille de risques• Challenge des analyses de risque produites par les équipes
de développement projet• Mise en place et alimentation d’une veille stratégique sur
les risques• Analyse des risques émergents• Travail sur les scénarios extrêmes
Outil
• Outil structurant du suivi des risques projets permettant la gestion de l’équilibre du portefeuille de risques et la recommandation de décisions de GO / NO GO pour les investissements et désinvestissements
Figure 6. Portrait-robot du risk manager « Stratégie et projets »
1515
Instances décisionnelles
Comité de direction, Direction générale,
Comité d’engagement, Comité stratégique…
Management de proximitéPropriétaires de risques
Instances de gouvernance
Conseil d’administration, Conseil de surveillance, Comité
d’audit et des comptes, Comité d’éthique
Fonctions de contrôleComité interne, audit,
santé-sécurité
Fonctions supportsFinance, Achats, RH, SI,
Communication, RSEAssurances
Stratégie et projets
2.1.3. La posture « Business partner »
La posture « Business partner » est généralement imposée par le besoin de proximité immédiate avec le terrain. Ce besoin s’exprime souvent dans le cadre d’un marché en mutation ou d’entreprises ayant eu à se confronter à un changement de business modèle. Dans cette posture, le risk management fait un travail de terrain reconnu pour son efficacité et son utilité aux opérationnels que nous avons qualifié de « Business partner ». Nous pouvons affirmer que ce comportement était présent dans les entreprises où la maturité du risk management est d’un niveau élevé, 4 ou 5 sur l’échelle de maturité (cf supra).
La posture orientée « Business partner » se retrouve dans les entreprises dont le marché subit de fortes ruptures. Les chocs internes provoqués par les changements structurels nécessaires à l’adaptation au marché, imposent en priorité d’accompagner les responsables décisionnels sur le terrain à l’utilisation d’un risk management simple, « facilitateur » de business. La souplesse que cette posture implique va jusqu’à la capacité à adapter la méthode pour la rendre plus facile d’accès.
Légende :
Principal client interne des travaux du risk management
Travaux réguliers en collaboration
Peu ou absence de travaux en collaboration
sens de la flèche = sens de la communication
Figure 7. Interactions du risk manager « Stratégie et projets »
1616
C’est là, par exemple, que nous avons pu constater l’abandon de notions complexes comme le « risque brut » et le « risque net » ou encore l’abandon de méthodologie de chiffrage compliquée pour passer à une évaluation sur une échelle rapide de un à cinq, comprise de tous sur le terrain.
Dans cette orientation, une attention particulière est portée à conserver une dose de « Compliance » au niveau de la tête d’entreprise ou « Corporate ». Cette attention particulière permet d’être capable d’alerter suffisamment tôt le plus haut niveau, en cas de transgression réglementaire prétextée par le syndrome du « Business first ». La ligne hiérarchique du risk management est située dans l’environnement d’une Direction Générale fortement délégataire vers une organisation plate en Business-Unit par exemple.
Portrait-robot du risk manager « Business partner »
Missions
• Accompagner le management de proximité dans sa gestion de la prise de risque : appui dans l’identification, évaluation, conception du plan d’actions et préparation de la présentation de la cartographie par le propriétaire de risque devant le top management
• Obtenir régulièrement une cartographie des risques de chaque business incluant l’état du plan d’actions
• Diffuser la culture du risque aux opérationnels• Rappeler constamment aux porteurs de business de
traduire leurs plans d’actions de mitigation des risques en arguments commerciaux auprès de leurs clients (exigence de sécurité, qualité et fiabilité des processus et opérations)
Savoir-être
• Empathie envers les propriétaires de risques• Capacité à engager un dialogue managérial et être
« challenging » sur les risques et les plans d’actions• Pédagogie, persévérance• Souplesse, adaptabilité, agilité• Reconnu pour son expérience opérationnelle,• Proximité du terrain, mobilité, dynamisme• Sait ne pas se substituer au propriétaire de risque dans sa
gestion quotidienne des risques
Savoir-faire
• Maîtrise de la méthodologie du risk management• Forme et responsabilise le management sur la gestion des
risques au quotidien• Négociation pour inscrire au budget les coûts correspondant
à la mise en œuvre des plans d’actions• Assistance à la mise en œuvre des plans d’actions et suivi
des plans d’actions• Cherche et croise les informations identifiées par les
fonctions supports et le management• Formations, diffusion d’une culture de risque• Simplification et adaptation de la méthode aux besoins du
business pour que les opérationnels se l’approprient
Outil
• Outil souple et non structurant de type Excel actualisé très régulièrement
• Outil de communication bottom-up pour dialoguer et challenger le management sur les risques
Figure 8. Portrait-robot du « Business partner »
17
Instances décisionnelles
Comité de direction, Direction générale,
Comité d’engagement, Comité stratégique…
Management de proximitéPropriétaires de risques
Instances de gouvernance
Conseil d’administration, Conseil de surveillance, Comité
d’audit et des comptes, Comité d’éthique
Fonctions de contrôleComité interne, audit,
santé-sécurité
Fonctions supportsFinance, Achats, RH, SI,
Communication, RSEAssurances
Businesspartner
Légende :
Principal client interne des travaux du risk management
Travaux réguliers en collaboration
sens de la flèche = sens de la communication
Figure 9. Interactions du risk manager « Business partner »
1818
2.2. Ces trois postures répondent à des besoins qui s’expriment différemment selon la culture des entreprises et le marché sur lequel elles opèrent.
En lecture globale, les trois postures peuvent être positionnées comme les trois pôles d’un triangle équilatéral :
Il faut comprendre que dans la réalité du terrain, les postures ne sont pas parfaitement « tranchées » et correspondent à des orientations plus ou moins fortes dans le dosage des composants.
2.2.1. Un outil de gouvernance
Une entreprise peut avoir une orientation de risk management dominante en « Compliance » avec une tendance vers la posture stratégie et projet. De ce fait, le risk management dans cette entreprise sera utilisé en outil de la gouvernance.
Figure 10. Trois postures du risk management
Business partner
Stratégie et Projets
Stratégie et Projets
Compliance
Compliance
Figure 11. Risk management outil de gouvernance
Outil de Gouvernance
Entrepriserisk management
Entrepriserisk management
19
Stratégie et Projets
Stratégie et Projets
2.2.2. Un outil de gestion
Si l’entreprise est orientée vers l’opérationnalité terrain, tout en conservant un besoin de gouvernance, le risk management sera compris comme un outil de gestion.
2.2.3. Un outil de performance
Lorsque le besoin dominant de l’entreprise est orienté vers les projets stratégiques avec une recherche d’optimisation de réalisation sur le terrain, le risk management sera identifié comme un outil de la performance.
Entrepriserisk management
Entrepriserisk management
Figure 12. Risk management outil de gestion
Business partner
Business partner
Compliance
Compliance
Out
il de
Ges
tion
Figure 13. Risk management outil de performance
Outil de P
erformance
20
Les dosages sont subtils et peuvent s’inverser.
Après avoir tenté de dégager la posture dominante idéale, il est apparu qu’une hiérarchisation des postures ne pouvait être établie. Le critère pertinent concernant l’efficacité du risk management est son adaptation au besoin culturel de l’entreprise liée à son historique sur son marché. Par exemple, la posture orientée « Business partner » se retrouve dans les entreprises dont le marché subit de fortes ruptures, ce qui semble être un fonctionnement plus particulièrement adapté au besoin d’agilité terrain, face au changement contextuel.
Figure 14. Différentes postures répondant à des besoins différents selon les entreprises
Business partner
Compliance Stratégie et Projets
Out
il de
Ges
tion
Outil de Gouvernance
Outil de P
erformance
Entrepriserisk management
21
3. En matière de projets, de risques pays : définition de limites de risques
3.1. Définition des limites de risques
Comme défini dans l’échelle de maturité du risk management, seules les entreprises de maturité 4 ou 5 sont en mesure de gérer valablement, de façon crédible, des limites de risques, avec des critères spécifiques aux business de chacun qui ne nous ont pas été délivrés pour des raisons de confidentialité.
Dans les démonstrations précédentes (du triangle des postures), c’est dans la posture « Stratégie et projets » que la notion de « risk appetite » est fréquemment travaillée, lié au fait que ce sujet est le plus souvent traité au niveau des Directions Stratégie Corporate, voire Direction Générale.
Nous avons pu identifier une volonté de rechercher le « risque zéro », concernant les risques « accidents humains ou atteinte aux personnes », dans pratiquement toutes les entreprises rencontrées. Cette position en induit une autre sur le risque pays : travailler dans une zone à risques pour les personnels, est soit totalement refusé, soit systématiquement encadré par des procédures strictes, soit assisté par des entreprises spécialisées qui ont la capacité et les informations nécessaires à l’appréciation quotidienne du risque pays. Les critères sous-jacents sont le plus souvent financiers, dans le sens où la crainte correspond à une perte d’investissement à la suite, par exemple d’une « nationalisation sauvage ».
Les entreprises dont la posture est orientée « Compliance », sont souvent poussées par les organes de gouvernance à être vigilantes sur les risques de réputation ou d’image. Nous avons pu constater que les administrateurs avaient une sensibilité particulière en « risk adverse » sur ces domaines. Le risk management est d’ailleurs considéré par les instances de gouvernance, comme l’outil interne quasi unique, permettant de donner une assurance raisonnable sur l’identification et le traitement des risques de réputation, le contrôle interne n’allant pas au-delà de l’évaluation du respect des principes de base.
En fait de limite ou « d’appétit » au risque, ce que nous avons pu identifier est plus lié aux moyens financiers de l’entreprise qu’à une réelle réflexion de fond.
Si le risk management est rarement impliqué dans le cycle budgétaire, ses travaux sont parfois utilisés dans le plan d’affaires. Le seul invariant d’un risk management efficace, est la vision financière qu’il doit avoir pour faire la liaison entre le coût des plans d’actions et la capacité budgétaire à les réaliser. C’est là que vont se trouver les véritables « limites », ou que l’on va parfois se découvrir un appétit pour un risque, parce que l’on a peu ou pas du tout les moyens financiers d’en assurer sa couverture industrielle ou assurantielle, une forme d’acceptation du risque par défaut.
Figure 15. L’approche du budget selon les trois postures de risk management
Compliance Le besoin de réduction d’un risque va provoquer la mise en place d’une allocation budgétaire prioritaire, imposée par la nécessité de conformité qui n’est pas discutable.
Stratégie et projets Le coût de réduction d’un risque (ou la variable coût/rémunération) est embarqué dans le calcul du «business plan» du projet ou du « business model » du développement stratégique.
Business partner
Le coût du plan d’actions est absorbé par les business units propriétaires des risques. C’est dans cette conformité que le risk management doit s’impliquer dans l’excercice budgétaire de la Business unit pour imposer la prise en compte du coût de réduction du risque, induit dans les plans d’actions.
22
3.2. Le risk management et les grands projets
Le sondage indique qu’il y a encore trop peu de participation du risk management dans les projets de l’entreprise. 75% des répondants ne font aucune analyse sur les projets de leur entreprise. Toutefois, lors des entretiens de benchmark, il est apparu assez clairement que l’implication du risk management dans les risques des grands projets de l’entreprise, était un élément charnière vers une maturité aboutie. Dans la plupart des cas, la participation du risk management dans le suivi des projets démontre une prise de conscience du management de l’utilité du risk management dans l’analyse prévisionnelle préparatoire à la décision. Dans ce cas, il participe voire anime le Comité d’Engagement.
Nous avons même rencontré certaines entreprises, orientées « Stratégie et projets », qui réalisaient deux exercices cartographiques sur les projets, l’une sur les risques intrinsèques aux projets (délais, compétences, ...), l’autre sur les risques d’un point de vue investisseur (fonds propres nécessaires, financements externes, partenariats,…).
Pour se permettre un tel déploiement, la méthodologie est largement simplifiée sur 3 axes, intensité : estimée de l’impact de 1 à 5, capacité estimée de maîtrise de 1 à 5, vraisemblance de survenance (plus que probabilité) estimée de 1 à 5. Le débat sur les indices de chaque axe suffit au comité d’engagement pour s’aligner sur des décisions fortes et immédiates.
Il y a une tendance à recourir au risk manager en tant que « consultant interne » à la disposition des responsables de projets. Il s’agit donc d’une forme d’implication à la demande, qui est la confirmation d’un travail de confiance sur la durée et de crédibilisation du risk management en interne.
D’ailleurs, lorsque le risk manager participe au suivi des projets, il y exerce un devoir d’alerte systématique qui va pour 42% des répondants, jusqu’à l’arrêt du projet si nécessaire. Cela confirme encore une fois l’idée que le risk manager réalise là un travail de terrain reconnu dans son efficacité et utilité pour les opérationnels, qui mérite la qualification de « Business partner ».
23
4. Apprécier les modalités de participation du risk management à la définition et à l’analyse de scénarios extrêmes
La création et l’analyse des scénarios extrêmes demandent une vision globale de l’activité de l’entreprise. Cette prise de hauteur nécessaire, implique un éloignement du terrain et impose de travailler au niveau des instances décisionnelles groupe ou corporate. C’est ce que nous avons pu observer dans les entreprises qui pratiquaient cet exercice. D’autant plus que l’une des personnes interviewées nous a apporté une notion un peu oubliée : l’incertitude. Le contrôle interne et le risk management s’inscrivent dans ce que l’on peut appeler l’identification et la gestion des risques « imaginables ». Il reste à gérer l’incertitude, c’est-à-dire en fait, les risques qui ne seront pas identifiés dans une cartographie parce qu’ils ne sont pas imaginables. Pour Frank Knight1 le risque désigne « une situation où les possibilités de l’avenir sont connues et probabilisables. Par opposition, l’incertitude désigne une situation où l’on ignore tout cela ». Selon le concepteur de la théorie du risque, l’incertitude correspond aux choix politiques successifs de l’entreprise et où la possibilité d’une erreur est importante car aucune assurance ne pourra compenser les éventuelles pertes résultant des choix politiques de l’entreprise. Cette approche est reprise par les travaux de Nicholas Taleb qui datent de 2007. Il enseigne les rapports entre l’épistémologie et les sciences de l’incertitude (c’est le nom officiel) à l’Institut Polytechnique de New York. Il développe ses idées dans son livre « Le cygne noir », sous-titre : la puissance de l’imprévisible.
Par destination, l’incertitude détient une part d’inconnu. En fait, il s’agit de travailler sur des évènements qui n’ont pas de raison logique de se produire dans le contexte où l’on se trouve, mais que des éléments inconnus au moment où l’on se place, peuvent faire apparaître. Bref, il y a des inconnus dans l’incertitude.
Extraits : « Qu’a-t-on appris du 11 septembre ? Que eu égard à leur dynamique, certains événements se situent nettement en dehors du domaine du prévisible ? Nullement. ……Il importe de prendre des mesures concrètes………….l’histoire de la ligne Maginot nous montre que nous sommes conditionnés pour le particulier (un accident = une réponse spécifique)……..Le problème réside dans notre structure mentale : nous n’apprenons pas les règles mais seulement et uniquement les faits. Nous ne semblons pas très doués pour assimiler les métarègles…….. Nous méprisons l’abstrait ; nous le méprisons passionnément. »
L’auteur explique que notre vision périphérique des problèmes et la réponse concrète que nous y apportons nous a bien souvent sauvé la vie. Elle n’est donc pas à rejeter. Ce qu’il souhaite démontrer c’est que cette réponse nous satisfait et de ce fait, stoppe notre réflexion, alors qu’elle est insuffisante. On se contente de la rationalité des faits.
Nous avons rencontré une entreprise confrontée à une violente attaque de la concurrence. Hors cette entreprise avait travaillé longuement sur un scénario extrême, plusieurs années avant mais ce scénario n’a finalement pas été retenu à cause de son irrationalité économique. Pourtant, c’est précisément en jouant ce scénario que la concurrence a retourné le marché.
Appliquée aux scénarios extrêmes, le degré d’incertitude est tel qu’il ne s’agit pas d’analyser un scénario de risque, mais de préparer un scénario de gestion de crise applicable à plusieurs évènements extrêmes. L’idée est de monter un scénario des conséquences extrêmes plus que de remonter au risque lui-même. Les conséquences étant applicables à une multiplicité d’incertitudes pour en tirer un plan de réponses et de décisions pré-identifiées.
Autrement dit, quand, par exemple, les organes vitaux de l’entreprise sont attaqués, quelques soient ces organes vitaux, cela induit des conséquences (par exemple : besoin de relocaliser les collaborateurs), quelles sont alors les décisions du top management (délégation de pouvoir au terrain ou centralisation de la décision).
1 Frank Knight : «Risk, uncertainty and profit»- 1921.
24
Afin d’illustrer cette notion, le char Leclerc se révèle être un bon exemple de gestion de l’incertitude par l’Etat-Major Général des Armées.
Le char Leclerc a été prédisposé en deux modes de fonctionnements :
• Temps de paix : en cas d’anomalie, le char s’arrête automatiquement. Le processus est normalisé, le conducteur du char n’a pas le contrôle de toutes les commandes du char. Il ne peut pas le redémarrer, il doit obligatoirement en référer à son autorité.
Gestion du risque probabilisable par le top management.
• Temps de guerre : le conducteur a totale autorité et accès aux commandes de contrôle de son char. Il est en autonomie.
�Gestion de l’incertitude par le top management la décision est incluse dans la conception du char.
Deuxième illustration :
• Lors de l’installation en milieu hospitalier, d’un système nouveau de pompes à insuline dans les chambres de patients, il y avait un choix à faire sur le blocage ou non des machines en cas panne du système central. La décision fut de ne pas bloquer les machines en cas de panne du central. En cela, le management décisionnel a opté pour une gestion de l’incertitude, plutôt qu’une gestion du risque.
• Un an après, une partie des machines sont tombées en panne, ce qui aurait logiquement provoqué un arrêt total de la distribution d’insuline. Le paramétrage étant resté ouvert, les techniciens ont pu réparer à la volée. Les patients n’ont à aucun moment été privé d’insuline et la gestion manuelle du médicament a été parfaitement respectée.
• La décision du management va, dans ce cas, à l’encontre des paramétrages anti-incertitude requérant la mise en place de procédures strictes. Une forme d’antithèse du principe de précaution. L’alternative du management s’exprime en ces termes : veut-on que les opérationnels suivent des procédures ou prennent des initiatives ?
Le travail sur la gestion de l’incertitude n’est possible qu’au plus haut niveau dans l’entreprise. Il est le fait d’un comité de direction. Pour réaliser ce travail, l’organisation doit permettre une proximité de fonctionnement du risk management avec les instances décisionnelles.
25
5. Identifier les meilleures pratiques en matière de gouvernance et leadership de la filière risk management
Pour chacune des entreprises que nous avons rencontrées, les bonnes pratiques étaient liées à la recherche d’un équilibre entre les trois composantes de façon à palier un manque plus ou moins identifié.
Par exemple, nous avons rencontré une entreprise orientée « Business partner » qui détenait une bonne pratique en ayant mis en place un processus d’alerte directe au DG en cas de déviance grave de conformité réglementaire sur le terrain.
Une autre, orientée « Compliance » dont le risk manager proposait son assistance à l’évaluation des risques auprès des opérationnels, lors de chaque campagne cartographique.
Une autre enfin, orientée « Stratégie et projets » qui faisait présenter à chaque comité d’audit, organe de gouvernance par destination, un grand risque de l’entreprise par le propriétaire du risque lui-même.
Si nous positionnons un poids qualitatif de 1 à 5 sur chacun des segments du triangle gestion, gouvernance, performance, le RM parfait, qui disposerait de la totalité des qualités dans chacun des domaines, serait représenté par le schéma suivant :
Figure 16. Equilibre complet du risk management
1
Ges
tion
5
1 P
erforman
ce 5
1 Gouvernance 5
5
5
5
Le profil d’équilibre parfait n’existe pas dans les faits. Il apparaît aujourd’hui inapproprié à mettre en place, parce qu’il ne correspond à aucun besoin, ni aucune culture d’entreprise. Ce serait en fait, comme faire exercer une « sur-qualité » couteuse au risk management par rapport à la réponse spécifique au besoin exprimé par l’entreprise.
26
Nous avons pu identifier la structure la plus répandue, le risk management demeure peu développé sur les trois axes et particulièrement faible sur l’axe de recherche de la performance.
Figure 17. Structure de risk management majoritaire
1
Ges
tion
5
1 P
erforman
ce 5
1 Gouvernance 5
32
3
Une tendance certaine a été identifiée dans plusieurs entreprises où la position « Gestion » est prédominante avec une orientation forte sur la posture « Business partner » ouvrant un axe de travail vers la performance.
Figure 18. Tendance à l’orientation vers le « Business partner »
1
Ges
tion
5
1 P
erforman
ce 5
1 Gouvernance 5
53
2
27
La forme la plus poussée du risk management que nous avons pu observer, est une position où le risk management exploite son leadership sur les problématiques de risques et opportunités à tous les niveaux de l’entreprise. Graphiquement, on observe un triangle isocèle caractérisant un fort développement sur les axes gestion et performance avec un maintien du niveau de positionnement sur l’axe de la gouvernance.
Figure 19. Forme actuelle la plus aboutie de risk management
1
Ges
tion
5
1 P
erforman
ce 5
1 Gouvernance 5
4 4
3
28
6. Faire évoluer la fonction risk management
6.1. De quoi le risk management, dans une entreprise donnée, a-t-il besoin pour gagner davantage d’une autre posture ?
La matrice ci-dessous permet d’aider tout risk manager à mettre en œuvre des évolutions incrémentales afin de renforcer certains aspects du risk management non développés au sein d’une entreprise.
Figure 20. Matrice des besoins pour faire évoluer une posture de risk management
Je veux développer l’aspect
Compliance Stratégie et
projetsBusiness partner
Aujo
urd
’hui, je
suis
Business partner
• Indépendance• Respect des
procédures• Prise en compte
des besoins de la gouvernance
• Capacité d’alerte aux instances de gouvernance
• Vision juridique et sociétale des risques
• Analyse des projets
• Vision plus long terme
• Prise de recul• Dialogue plus
important avec le management décisionnel
• Implication sur les plans stratégiques, plans d’affaires
Stratégie et projets
• Méthodologie• Neutralité• Approche
juridique et sociétale des risques éthiques et de réputation
• Déléguer au terrain
• Ecouter le terrain• Accompagner les
propriétaires de risques
Compliance
• Vision long terme
• Prise de recul• Dialogue plus
important avec le management décisionnel
• Participation au Comité stratégique
• Souplesse • Présence terrain• Responsabiliser
les managers terrains
• Présentation régulière d’un risque par son propriétaire au Comité d’audit et des comptes
29
La matrice ci-dessous permet d’aider tout risk manager à mettre en œuvre des changements organisationnels afin de faire évoluer fortement une forme de risk management existante vers une forme jugée comme mieux à même de répondre aux besoins d’une entreprise donnée.
Figure 21. Matrice changement organisationnel
Je veux être, j’ai besoin de
ComplianceStratégie et
projetsBusiness partner
Aujo
urd
’hui, je
suis
Business partner
• risk manager présent aux organes de gouvernance type Comité d’audit
• RM dépend du Secrétariat général qui a dans son périmètre la Direction Stratégie
Stratégie et projets
• RM au Secrétariat Général ou Direction du Contrôle Interne et de l’Audit Interne
• Organisation bicéphale : continuité de la présence sur les instances décisionnelles, prise en compte du reporting des managers terrains
Compliance
• RM dépend du Secrétariat général qui a dans son périmètre la Direction Stratégie / Finance
• RM dans l’environnement des assurances
• S’ouvrir aux projets et met en place une organisation proche du terrain
Conclusion
Une des constats de cette étude est que le positionnement du risk management est divers selon les entreprises ce qui se justifie par des besoins différents pour s’adapter continuellement à leur marché. Il nous est apparu qu’il n’était pas pertinent de proposer d’appliquer une forme optimisée de risk management standard pour toutes les entreprises. Chaque entreprise ayant ses particularités, un risk management efficace se caractérise par son adaptation adéquate à la culture et problématique de l’entreprise.
Nous avons toutefois noté avec une recherche de simplification méthodologique, une évolution forte vers la posture « Business partner » et une volonté de développer l’axe performance qui implique d’une part, que le risk manager s’ouvre à l’extérieur et d’autre part, soit embarqué dans le processus de réflexion stratégique. Ce glissement permettra d’évoluer de la seule prévention des risques opérationnels vers une maitrise des risques liés au business model afin de mieux anticiper les ruptures. Ce glissement est souhaitable pour permettre au risk manager d’animer le débat sur le traitement des incertitudes au plus haut niveau de l’entreprise.
30
Annexe 1 : Analyse sémantique des interviews
Le compte-rendu précis questionnaire des entretiens individuels nous a permis d’analyser les mots employés par les personnes interviewées.
Figure 22. Mots employés les plus fréquemment lors des entretiens
Business : Ce mot confirme la tendance vers un risk manager « Business partner » au détriment d’un risk management « Compliance », terme qui a été beaucoup moins mentionné.
Gestion, incertitude et opportunités : Ces termes révèlent la nécessité du risk manager à ne pas se laisser absorber uniquement par les risques opérationnels et à monter à un niveau d’analyse stratégique.
Cartographie : de façon très étonnante, le terme « cartographie » a été moins employé que le terme business. Il s’agit sans doute d’un signal faible révélant encore une fois, le glissement d’un risk management « Compliance » vers un risk management « Business partner ».
Etre : La vision du métier et de son utilité que peut avoir le management décisionnel et le management opérationnel dépend fortement du savoir-être du risk manager. Son comportement est essentiel pour imposer sa fonction et passer les messages de manière crédible.
Projet et décision : Nous avons constaté durant nos entretiens un réel souhait du risk manager d’être davantage impliqué dans le processus décisionnel stratégique de l’entreprise.
Annexe 2 : Introduction aux résultats du questionnaire
A la suite de notre étonnement devant le nombre assez faible des réponses, nous avons pu constater qu’un grand nombre des répondants ayant ouvert le questionnaire l’ont rapidement quitté sans l’avoir terminé après avoir compris que leurs prérogatives étaient très limitées par rapport aux questions posées. Nous pouvons en conclure qu’une grande partie des entreprises pratiquent, aujourd’hui, un risk management limité aux risques opérationnels / industriels.
Les risk managers ayant complété le questionnaire correspondent à une population qui a une pratique développée du risk management. C’est pourquoi il est difficile de tirer de ce questionnaire une règle ou une moyenne globalisante.
31
Annexe 3 : Résultats du questionnaire et commentaires par item
Q1 : Quel est le secteur d’activité de votre entreprise ?
Légende :
Assurance
Consommation et distribution
Energie et ressources
Immobilier et construction
Industrie
Santé et sciences de la vie
Services
Services financiers
Technologie Média et Télécoms
Transport et industrie aéronautique
Autre
Q2 : Dans quelle(s) région(s) du monde votre entreprise opère-t-elle ?
France42%
Europe26%
International62%
20,5%
15,4%
12,7%7,7%
7,7%
2,6%
2,6%
2,6%
7,7%
20,5%
Q3 : Votre société est-elle cotée ?
Oui49%
Non51%
Q4 : Quelle est la taille de votre entreprise ? (classification INSEE)
Q5 : Qui est le commanditaire de la fonction risk management ?
Le comitéd’audit
19%
La direction générale81%
64,1%30,8%
5,1%
Le commanditaire du risk management est très fortement dans l’environnement décisionnel et exécutif. Cette réponse n’est en fait pas très clivante. La direction générale dans de nombreux cas peut soutenir le risk management pour des raisons de gouvernance notamment dans les sociétés cotées. C’est ce qui nous a été confirmé lors des entretiens.
Légende :
ETI - CA = - de 1,5 MDS €
PME/PMI :- CA = - de 50 millions €
Grande entreprise - CA = + 1, 5 MDS €
32
33
Q6 : Quel est le rapport de la fonction risk management avec les instances de direction ?
Une proportion fortement majoritaire des risk managers sont en contact direct avec les organes décisionnels.
Q7 : Récemment, quels sont les rôles sur lesquels votre commanditaire vous a demandé d’évoluer ou de progresser ?
La cartographie des risques groupe et risques majeurs 66,7%
L'identification, l'évaluation et la quantification des risques 53,8%
Le pilotage des plans d'action de mitigation des risques 43,6%
La gestion de crise 30,8%
La définition du niveau d'appétence aux risques 23,1%
L'élaboration de scénarios extrêmes 17,9%
La participation à la prise de décision stratégique (par exemple, GO/NO GO de projet, décision d'investissement,...) 15,4%
Autre 10,3%
Pas de demande particulière 7,7%
Ce qu’il est important de comprendre sur cette réponse, c’est que la cartographie demeure un sujet de développement. Cela est vraisemblablement dû à une forte demande de simplification pour permettre une lecture plus aisée. En deuxième position, on observe des demandes de simplification de la quantification en vue de simplifier. Enfin, il est demandé à certains risk managers de s’impliquer davantage dans les plans d’action.
Légende :
Contact direct : vous pouvez les contacter directement et librement en cas de besoin
Contact indirect : vous pouvez contacter uniquement via un intermédiaire (via votre supérieur hiérarchique par exemple) et/ou à des dates fixées
Absence totale de contact : vous ne pouvez jamais les contacter
71,8%28,2%
34
Q8/Q9 : Quels sont les rôles que vos instances de direction attribuent à l’ERM ? Cocher au moins une case par ligne. (Ces schémas retracent la totalité des réponses. Plusieurs réponses possibles)
L’analyse des tableaux ci-dessus nous a permis de concevoir l’échelle de maturité présentée au début du rapport.
Contribue à l’identification et l’évaluation des risques
Contribue à la communication vers les marchés
Donne une assurance sur l’efficacité du sytème ERM mis en place
Est force de proposition et peut influencer la stratégie globale de l’entreprise
70%
60%
50%
40%
30%
20%
10%
0%
Est impliqué dans la prise de décision
Définit un niveau d’appétence au risque et fixe des limites des risques
A un rôle dans les transferts et assurances des risques
Est garant de la méthode d’analyse des risques
Pilote et réalise des lookbacks sur l’efficacité des plans d’action
Met en œuvre les plans d’action et participe à la gestion de crise
Contribue à l’identification et l’évaluation des risques 62,1%
Meilleu
res pratiq
ues
observées
Donne une assurance sur l’efficacité du système ERM mis en place 35%
Est garant de la méthode d’analyse des risques 33%
A un rôle dans les transferts et assurances des risques 29,9%
Met en œuvre les plans d’action et participe à la gestion de crise 24,1%
Pilote et réalise des lookbacks sur l’efficacité des plans d’action 18,6%
Contribue à la communication vers les marchés 18,4%
Est force de proposition et peut influencer la stratégie globale de l’entreprise 14,1%
Est impliqué dans la prise de décision 11,5%
Définit un niveau d’appétence au risque et fixe des limites des risques 9,9%
Meilleures pratiques observées
35
Q10 : L’ERM participe-t-il à l’élaboration de :
60%
50%
40%
30%
20%
10%
0%
La phase stratégiquedu plan d’affaires à
moyen terme (3-6 ans)
La phase financièredu plan d’affaires à
moyen terme (3-6 ans)
Du cycle budgétaire annuel
Aucune des trois
La grande majorité des risk managers ne se positionne pas sur un risk management « Stratégie et projets » ce qui a été confirmé par les entretiens individuels.
Q11 : Si oui
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Les options sont élaborées en tenant en compte de l’analyse des risques
réalisée par l’ERM
En fin de processus, l’ERM réévalue les risques au
regard des options prises
Quand les répondants participent à l’une des phases (stratégique, financière, budgétaire), seuls 46 % réévaluent les risques au regard des options prises.
36
Q12 : Définissez-vous la rémunération supplémentaire exigée par votre entreprise pour prendre davantage de risques ?
Ex : A et B sont deux projets examinés par l’entreprise nécessitant le même niveau de CAPEX. L’entreprise ne peut investir que dans un seul des deux projets. Le projet B rapporte 4 % de plus que le projet A pour une prise de risque 10% plus élevée que le projet A. Selon la définition de son appétence au risque, l’entreprise choisira le projet A ou B.
Intervenez-vous dans la définition des critères d’appétence au risque ?
Q13 : Si oui, par quel type de méthode évaluez-vous l’appétence au risque ?
80%
70%
60%
50%
40%
30%
20%
10%
0%
WACC+ X% Autre (veuillez préciser)
Limites d’exposition
Exclusions de métiers / produits / pays…
Approche par scénario
70 % des personnes ayant répondu oui à la question précédente, approchent le risque par scénario et développent faiblement l’analyse de l’appétence au risque par les limites d’expositions et le taux de rentabilité minimum exigé.
40% des répondants analysent les risques projets et semblent définir des critères d’appétence au risque ce qui n’a pas été confirmé par les entretiens individuels.
Oui40%
Non60%
37
Q14 : Quelles limites voyez-vous aux méthodes de quantification ?
Les risk managers considèrent que la quantification basée sur les scénarios n’est pas fiable pour permettre de fixer la limite et l’appétit au risque. La quantification n’est pas suffisamment fiable car elle est trop dépendante des hypothèses. Ce point milite en faveur d’une simplification de la quantification qui n’a pour raison d’être que de donner un poids représentatif au risque et pas une valeur dont l’exactitude est facile à remettre en cause avec un simple changement de paramètre.
Q15 : Emettez-vous des avertissements/doutes au regard de ces évaluations ?
Oui48%
Non52%
Q16 : Êtes-vous partie prenante de la définition du niveau de couverture du risque ?
Couverture industrielle
42%
Couverture assurantielle
68%
Couverture financière
28%
68 % des répondants participent à la définition du niveau de couverture assurantielle du risque, en revanche, nous observons le peu de participation sur la couverture financière du risque. Ce qui conforte l’impression d’une gestion des risques traditionnelle et peu créative.
40 % des répondants ne se sentent pas entièrement à l’aise avec les modes d’évaluations quantitatifs utilisés. Nous avons pu noter que ceux qui sont à l’aise dans leurs évaluations sont ceux qui ont optés pour des modes évaluatifs simplifiés sans prise en compte de calculs financiers. Ce qui ne les empêche pas de réaliser un calcul financier des plans d’actions.
38
Q17 : Analysez-vous l’impact d’un projet sur le « business model » du Groupe (diversification/concentration du portefeuille d’actifs/produits de l’entreprise) ?
Oui24%
Non76%
Q18 : Avez-vous une grille formelle de critères aidant à prendre des décisions de type GO / NO GO ?
Oui32%
Non68%
Cette réponse met en exergue le fait que les risk managers d’aujourd’hui sont faiblement orientés « Stratégie et projets ». Ce que nous avons pu constater lors des entretiens.
Cette réponse confirme la réponse précédente : très peu de risk managers sont présents sur des actions de GO / NO GO.
39
Q19 : Votre entreprise a-t-elle défini des limites ou des risques par principe non acceptables (suppression / évitement du risque) ?
Oui61%
Non39%
Q20 : Si oui, lesquels ?
En matière de sécurité 90%
En matière d’éthique 80%
En matière de risques pays (pays refusés par principe) 60%
En matière de RSE 50%
En matière de réputation 50%
Autre (veuillez préciser) 30%
En matière de catastrophes naturelles / risques environnementaux
25%
Cette réponse vient préciser que la sécurité des personnes est primordiale, ce que l’on retrouve également en matière d’éthique. Il faut comprendre que, dans ces cas précis, la limite est rapidement fixée à 0. En d’autres termes, on sait mettre une limite en place parce qu’elle est binaire et rarement quand elle fait appel à un chiffrage de coût que l’on ne veut pas dépasser.
Les limites définies à ce niveau de réponse sont le plus souvent liées aux risques humains qui demeurent inacceptables pour la grande majorité des entreprises. C’est le plus souvent le coût des plans d’actions qui imposent la limite des risques et pas le risque lui-même.
40
Q21 : Dans votre entreprise, le risk manager a-t-il un devoir d’alerte pouvant conduire à l’abandon d’un projet ?
Oui42%
Non58%
Q22 : Dans le processus de validation des décisions de projet et d’investissement, êtes-vous impliqué(e) ?
Vous n’êtes pas impliqué(e) 54,5%
En amont dans la phase de développement ou de définition du projet
39,4%
En comité d’engagement ou d’investissement pour avis consultatif 24,2%
En comité d’engagement ou d’investissement avec droit de veto pouvant entrainer l’abandon pur et simple du projet
3%
En comité d’engagement ou d’investissement pour décision avec un droit de vote
0%
Dans cette réponse, se dessine l’approche de risk managers impliqués en phase amont voire en comité d’engagement avec droit de veto, ce que nous avons pu confirmer dans les entretiens individuels, qui nous ont permis de construire la posture « Stratégie et projets » de notre analyse.
Cette réponse confirme que le risk manager n’est pas suffisamment audible sur les sujets de risques stratégiques et projets. Ce que nous retrouverons dans les entretiens.
41
Q23 : Êtes-vous membre ou participant dans l’un de ces comités :
• membre : rôle actif et présence systématique aux comités
• participant : rôle consultatif et présence non obligatoire
35%
30%
25%
20%
15%
10%
5%
0%Comité
des risquesComité d’auditComité
stratégiqueComité
d’ethiqueComité
de direction
Légende : NA Participant Membre
Le risk management n’est pas suffisamment présent dans les instances décisionnelles stratégiques. Mais comme on l’a vu plus haut il détient la capacité du contact unipersonnel directe avec la Direction Générale qui, dans certains cas, agit comme un relais puissant du RM.
Q24 : Concernant le suivi des plans d’actions, avez-vous une responsabilité dans leur :
Pilotage43%
Mise en œuvre opérationnelle
33%
Contrôle de la mise en œuvre
74%
Contrôle de leur efficacité
53% 33 % participe à la mise en œuvre opérationnelle des plans d’actions. Cette réponse fait apparaitre un risk management fortement sur le terrain dans une posture de « Business partner ». De plus un contrôle de l’efficacité à plus de 50% démontre une orientation performance, le RM n’est plus dans le constat, il est dans le jugement.
42
Q25 : A quelle fréquence actualisez-vous :
40%
35%
30%
25%
20%
15%
10%
5%
0%Annuelle Hebdomadaire QuotidienneSemi-annuelle Trimestrielle Mensuelle
Légende : L’évaluation des risques Le suivi des plans d’actions
Q26 : Avez-vous une démarche structurée pour identifier et suivre les risques émergents ayant un impact sur votre activité ?
Oui44%
Non56% La question induit deux niveaux de
réponses. Certains risk managers peuvent analyser les risques émergents sans pour autant avoir une démarche structurée. Ces derniers répondent non à la question et viennent agréger ceux qui n’ont aucune analyse des risques émergents. A travers la réponse oui, on peut voir que 44% des risk managers travaillent sur les risques émergents, ce qui reste faible quand on considère que ceux qui ont répondu sont les plus en pointe dans le métier.
43
Q27 : Si oui, cette démarche est-elle indépendante ou articulée avec d’autres dispositifs de veille ?
Veille concurrentielle
69%Veille
technologique56%
Intelligence économique
49%
Autre12%
Q28 : A qui communiquez-vous les risques émergents / signaux faibles ?
Aux instances de direction
79%
Direction de la stratégie
22%
DirectionR&D3%
Aucune12%
Autre12%
Pour alimenter son analyse des risques émergents, le risk management se nourrit aussi de la veille externe réalisée par d’autres départements et en majorité la veille concurrentielle et technologique. Seul le RM qui détient les données de veille externe sera en mesure de challenger valablement les risques identifiés par les organisations marketing ou stratégie. Croisé à la réponse précédente, on voit là que la majorité des RM sont dans un constat passif des risques. Il leur est rarement demandé de les chalenger.
Cette réponse démontre vérita-blement le contact direct du Risk Manager avec les instances de direction et peut expliquer son absence dans les instances de décision. Le risk management est clairement un outil de direc-tion générale. C’est elle qui dé-cide de s’en servir dans sa gestion. Il semble que le RM soit une source d’information différente pour la DG qu’elle souhaite conserver en parallèle des autres instances décisionnelles pour mieux les confronter.
44
Q29 : Votre secteur d’activité a-t-il eu à connaître des ruptures modifiant structurellement le marché et votre business modèle ?
Oui48%
Non52%
Q30 : Si oui, en tant que risk manager, aviez-vous anticipé ces ruptures ?
Oui43%
Non57%
Près de 50 % des entreprises ont eu à connaître des ruptures modifiant structurellement leur business modèle.
Cette réponse met en exergue le fait remarquable que dans plus de la moitié des cas, le risk management n’a balayé que les risques imaginables de l’entreprise (business as usual, référentiel de risques) et n’a pas eu la capacité à traiter des incertitudes. Cette analyse a été confirmée par les entretiens individuels.
45
Q31 : Si oui, comment aviez-vous anticipé ces ruptures en tant que risk manager ?
80%
70%
60%
50%
40%
30%
20%
10%
0%
Benchmark Autre Veille Analyse de type stratégique
Via le processus ERM
Nous constatons que ce n’est pas le processus ERM qui est le premier canal pour anticiper les ruptures. La veille est focalisée sur l’externe, et la rupture vient de l’externe
Q32 : Avez-vous des dispositifs de retour d’expérience pour comprendre pourquoi ces ruptures n’avaient pas été anticipées ?
Oui23%
Non77%
Q33 : Avez-vous obtenu des progrès sur la diffusion d’une culture risque auprès des dirigeants et managers ?
Le risk management a très clairement permis une évolution dans la diffusion de la culture de risque dans l’entreprise au niveau des managers.
L’absence de retour d’expérience sur les aspects stratégiques ne lui permet pas de capitaliser sur les éventuelles ruptures. Il faut aussi comprendre que dans la majorité des cas il n’est pas dans sa mission d’identifier les ruptures. Cependant les entreprises ayant vécu ces ruptures, ont orienté le RM vers l’identification des risques stratégiques comprenant les ruptures de « business model ».
Retrouvez les autres Publications
Cahiers Techniques
Collection Dialoguer
Collection Maîtrise des Risques
Librairie en ligne www.amrae.fr/Publications
Prix de vente – exemplaire relié : 20 € TTC FRANCE
Le présent document, propriété de l’AMRAE, est protégé par le copyright.Toute reproduction, totale ou partielle est soumise à la mention obligatoire du droit d’auteur
Copyright ©AMRAE 2016